ガイドラインでは令和 3 年 1 月に発出された 5.1 版以降すべての版において、令和 9
年度時点で稼働していることが想定される医療情報システムを、新規導入または更新す
るに際しては、二要素認証を採用するシステムの導入、またはこれに相当する対応を行

▶シ ス テ ム 運 用 編
14.⑤
14.1.1

うことを求めています。二要素認証の導入・改修にあたっては、一定程度の費用が見込
まれますので計画的なシステム更新を推奨します。
⑪と同様、本項目は、医療情報システムにおけるサーバの OS にログインする際の認
証技術実証を指します。医療情報システムの利用者認証のみならず、医療情報システム
全般として、サーバ、端末 PC、ネットワーク機器への認証技術実装を指します。
なお、セキュリティ・デバイスの破損等を想定し、緊急時の代替手段によるバイパス
等、一時的なアクセスルールを用意することが重要です。緊急時等で二要素認証が利用
できない場合に代替手段を利用する場合には、また、バイパス利用時にはシステム運用
担当者等においてシステム及び利用者を適切に管理できる体制を整えておくことが重要
である求められます。
●二要素認証の採用例（記憶・生体情報・物理媒体の２種類を組み合わせたもの）
①パスワード＋指紋認証 ②IC カード＋パスワード ③IC カード＋指紋認証

⑬

アプリケーションログイン時の二要素認証を実装している。または令和９年度以降初回

のシステム更改時に実装予定である（端末）
⑩と同様、端末においては、アプリケーションログイン時の二要素認証が必要とな
ります。
医療機器の本体においても二要素認証をすることは今後重要となってきます。一方
で医療機器においては、組み込みアプリケーションを改修することで、再度薬事承認
が必要となるリスクがあることから、端末における二要素認証を必須としません。

⑨ ⑬⑪ アクセスログを管理している。
（サーバ）
医療情報システムが適切に運用されているかを確認するために、システム運用担当者
は利用者のアクセスログを記録するとともに、企画管理者等はそのログを定期的に確認

▶経営管理編
4.2
▶企画管理編
5.3

18

▶システム運用編
17①②